0x0 废话
emmm,总之就是官方给的examples啦。持续更新...
链接:https://docs.angr.io/examples
0x1 defcamp_r100
angr在CTF中最常见的使用方式就是利用符号执行来探索路径。来看主函数
可以看到本题中只需要达到0x400844这个地址,我们的输入就是正确的flag,即我们打印到达0x400844这个地址的state的标准输入流就可以得到flag。 我们来具体实现这个过程
import angr
proj = angr.Project('./r100')
st = proj.factory.entry_state()
sm = proj.factory.simulation_manager(st)
sm.explore(find=0x400844, avoid=0x400855)
print sm.found[0].posix.dumps(0)
其中,sm.explore即开始执行,当state的地址到达find参数的地址时,执行就会终止,然后将该state放入found stash中;而到达avoid参数的地址时,会将当前state放入avoided stash中。由于我们最后的flag即是我们的输入,所以需要打印标准输入流信息,state.posix存放了一些与环境相关的信息,我们可以通过文件描述符0来获取标准输入流,于是便有了最后一行代码。
本题的check函数是一个较为复杂的运算,如下
signed __int64 __fastcall sub_4006FD(__int64 a1)
{
signed int i; // [rsp+14h] [rbp-24h]
const char *v3; // [rsp+18h] [rbp-20h]
const char *v4; // [rsp+20h] [rbp-18h]
const char *v5; // [rsp+28h] [rbp-10h]
v3 = "Dufhbmf";
v4 = "pG`imos";
v5 = "ewUglpt";
for ( i = 0; i <= 11; ++i )
{
if ( (&v3)[i % 3][2 * (i / 3)] - *(char *)(i + a1) != 1 )
return 1LL;
}
return 0LL;
}
不过对angr来说,这点计算量算是很小了,所以能很快的进行约束求解。
0x2 asisctffinals2015_fake
主函数如下
__int64 __fastcall main(signed int a1, char **a2, char **a3)
{
__int64 v3; // r8
__int64 v5; // [rsp+0h] [rbp-38h]
__int64 v6; // [rsp+8h] [rbp-30h]
__int64 v7; // [rsp+10h] [rbp-28h]
__int64 v8; // [rsp+18h] [rbp-20h]
__int64 v9; // [rsp+20h] [rbp-18h]
v3 = 0LL;
if ( a1 > 1 )
v3 = strtol(a2[1], 0LL, 10);
v5 = 1019660215 * v3;
v6 = 2676064947712729LL
* ((v3 >> 19)
- 2837
* (((signed __int64)((unsigned __int128)(6658253765061184651LL * (signed __int128)(v3 >> 19)) >> 64) >> 10)
- (v3 >> 63)))
* ((v3 >> 19)
- 35
* (((signed __int64)((unsigned __int128)(1054099661354831521LL * (signed __int128)(v3 >> 19)) >> 64) >> 1)
- (v3 >> 63)))
* ((v3 >> 19)
- 33
* (((signed __int64)((unsigned __int128)(1117984489315730401LL * (signed __int128)(v3 >> 19)) >> 64) >> 1)
- (v3 >> 63)));
v7 = ((v3 >> 19)
- 9643
* (((signed __int64)((unsigned __int128)(1958878557656183849LL * (signed __int128)(v3 >> 19)) >> 64) >> 10)
- (v3 >> 63)))
* 5785690976857702LL
* ((v3 >> 19)
- 167
* (((signed __int64)((unsigned __int128)(7069410902499468883LL * (signed __int128)(v3 >> 19)) >> 64) >> 6)
- (v3 >> 63)));
v8 = ((v3 >> 19)
- 257
* (((signed __int64)((unsigned __int128)(9187483429707480961LL * (signed __int128)(v3 >> 19)) >> 64) >> 7)
- (v3 >> 63)))
* 668176625215826LL
* ((v3 >> 19)
- 55
* (((signed __int64)((unsigned __int128)(5366325548715505925LL * (signed __int128)(v3 >> 19)) >> 64) >> 4)
- (v3 >> 63)));
v9 = ((v3 >> 19)
- 48271
* (((signed __int64)((unsigned __int128)(1565284823722614477LL * (signed __int128)(v3 >> 19)) >> 64) >> 12)
- (v3 >> 63)))
* 2503371776094LL
* ((v3 >> 19)
- 23
* (((signed __int64)((v3 >> 19) + ((unsigned __int128)(-5614226457215950491LL * (signed __int128)(v3 >> 19)) >> 64)) >> 4)
- (v3 >> 63)));
puts((const char *)&v5);
return 0LL;
}
这次,由于flag是通过我们的输入来生成的,而非flag本身,所以我们需要对生成结果进行一些约束,以此来求出flag。
首先,这里是通过命令行参数进行输入,但输入的是一个数字,这就导致了我们不知道它的长度以及符号,所以直接使用字符串数字作为符号变量并非一个好主意,而在之后我们可以看到使用了strtol函数将这个字符串数字转换为了64位整数,我们可以从这里作为出发点,最终对其变换结果进行约束求解。</